한국어
winbbs에서 퍼온 글입니다.. 2000인 경우 msblast가 아닌 그냥 blast.exe로 나오는거 같습니다. 아무튼 blast나 msblast나 둘다 제거해야합니다...
이미 감염되었을 경우 패치 설치만으로 시스템이 정상화되지 않습니다. 다음과 같은 응급 조치를 취하십시오.
1. 이미 실행 중인 msblast.exe 종료하기
- Ctrl + Shift + Esc를 눌러서 [작업 관리자]를 엽니다.
- [프로세스] 탭에서 msblast.exe를 찾습니다. "이미지 이름" 줄을 눌러서 알파벳 순으로 정렬하면 쉽게 찾을 수 있습니다.
- msblast.exe를 선택하고 [프로세스 끝내기] 버튼을 누릅니다.
2. MS03-026 패치 다운로드
- MS03-026 패치를 다운로드합니다.
-마이크로소프트 보안 패치 MS03-026:
http://www.microsoft.com/korea/technet/security/bulletin/MS03-026.asp
- 곧바로 설치하지 않고, 안전한 위치에 저장합니다.
3. 네트워크 연결 끊기
- 재감염을 막기 위해 네트워크 케이블을 뽑습니다.
- 또한, Windows XP의 경우 [내 컴퓨터]의 [속성] 중 [시스템 복원] 탭에서 "모든 드라이브에 시스템 복원 사용 안 함"을 체크하십시오. 나중에 치료가 끝난 후에 필요에 따라 다시 체크를 제거할 수 있습니다.
4. 웜 파일 제거하기
- 탐색기에서 Windows\System32 또는 Winnt\System32를 엽니다.
- msblast.exe를 찾아서 삭제합니다.
- 휴지통으로 버렸을 경우 휴지통을 비웁니다.
5. 웜이 자동 실행되도록 하는 레지스트리 값 제거하기
- [시작] - [실행]에서 regedit를 실행합니다.
- [레지스트리 편집기]의 왼쪽 트리에서 다음 키를 선택합니다.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- 오른쪽 창에서 "windows auto update"라는 값을 선택합니다.
- Del 키를 눌러서 삭제합니다.
- [레지스트리 편집기]를 종료하고 컴퓨터를 재부팅합니다.
6. 패치 적용하기
- 위 단계와 같이 치료했다고 하더라도 패치가 설치되지 않은 컴퓨터는 쉽게 재감염될 수 있습니다. 따라서 앞서 다운로드하여 보관중인 MS03-026 패치를 반드시 설치하십시오.
- 패치가 설치된 후 재부팅 할 것인지 물을 때 반드시 재부팅합니다.
7. 네크워크 케이블 연결 후 정상적으로 사용
[주의사항]
한 번 이 웜에 감염된 컴퓨터는 감염되어 있던 동안 공격자가 침입할 수 있는 경로를 열기 때문에 그 시간 동안 공격자가 시스템 설정을 바꾸거나 자료를 열람했을 수도 있습니다. 이 경우 포맷 후 시스템을 재설치하기 전까지는 안전하다고 볼 수 없습니다.
[패치적용 방법]
1. 윈도우 [실행]-[Windows Update]메뉴를 선택합니다.
2. `업데이트 검색`을 선택합니다.
3. 설치할 중요 업데이트 항목에서 `823980` 를 선택하여 설치합니다. 이때 `823980` 뿐 아니라, 다른 보안 업데이트 항목도 함께 설치하기를 권장합니다.
[참고사이트]
http://www.hauri.co.kr/virus/vir_read.html?code=IWW3000424
http://www.hauri.co.kr/news/notice_read.html?start=2&uid=434&s_type=&s_text=
이 파일을 확인해 본 결과 UPX로 실행압축이 되어 있으며, 파일 크기는 6,176 바이트입니다.
이 웜이 실행되면 다음의 레지스트리에 등록이 된다.
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
이 름 : windows auto update
데이터 : msblast.exe
그런뒤 135번 포트를 통해 다른 PC들에게 DCOM RPC 공격을 시도하게 된다. 공격에 성공하면 tftp를 통해서 웜을 다운로드 받아서 실행하며, 계속적으로 이 같은 동작을 반복하게 된다.
또한 일부 시스템에서는 계속적인 재부팅 현상이 발생하기도 한다.
DCOM RPC 보안에 취약한 OS들은 아래와 같다.
- Microsoft Windows NT 4.0
- Microsoft Windows NT 4.0 Terminal Server Edition
- Microsoft Windows 2000
- Microsoft Windows XP
- Microsoft Windows Server 2003
따라서 위의 OS를 사용하고 있다면 다음을 통해서 보안 패치를 받기 바란다.
해당 패치의 다운로드 위치:
- Windows NT 4.0 Server
http://microsoft.com/downloads/details.aspx?FamilyId=2CC66F4E-217E-4FA7-BDBF-DF77A0B9303F&displaylang=ko
- Windows NT 4.0 Terminal Server Edition
http://microsoft.com/downloads/details.aspx?FamilyId=6C0F0160-64FA-424C-A3C1-C9FAD2DC65CA&displaylang=en
- Windows 2000
http://www.microsoft.com/downloads/details.aspx?FamilyId=C8B8A846-F541-4C15-8C9F-220354449117&displaylang=ko
- Windows XP 32 bit Edition
http://www.microsoft.com/downloads/details.aspx?FamilyId=2354406C-C5B6-44AC-9532-3DE40F69C074&displaylang=ko
- Windows XP 64 bit Edition
http://www.microsoft.com/downloads/details.aspx?FamilyId=1B00F5DF-4A85-488F-80E3-C347ADCC4DF1&displaylang=en
- Windows Server 2003 32 bit Edition
http://www.microsoft.com/downloads/details.aspx?FamilyId=F8E0FF3A-9F4C-4061-9009-3A212458E92E&displaylang=ko
- Windows Server 2003 64 bit Edition
http://www.microsoft.com/downloads/details.aspx?FamilyId=2B566973-C3F0-4EC1-995F-017E35692BC7&displaylang=en
- 전산 전문가용: http://www.microsoft.com/korea/technet/security/bulletin/MS03-026.asp
- 최종 사용자용: http://www.microsoft.com/korea/technet/security/bulletin/security_bulletins/ms03-026.asp
[서버 관리자]
이 웜은 135번 포트의 공격으로 보안에 취약한 PC를 공격하기 때문에 135번 포트를 방화벽에서 막을려고 하면 안된다.
135번 포트는 일반적으로 많이 사용하는 포트이기 때문이며 이 웜이 tftp를 통해서 다운로드 받기 때문에 4444번 포트를 방화벽에서 막는것이 우선적으로 효과적이다.
이미 감염되었을 경우 패치 설치만으로 시스템이 정상화되지 않습니다. 다음과 같은 응급 조치를 취하십시오.
1. 이미 실행 중인 msblast.exe 종료하기
- Ctrl + Shift + Esc를 눌러서 [작업 관리자]를 엽니다.
- [프로세스] 탭에서 msblast.exe를 찾습니다. "이미지 이름" 줄을 눌러서 알파벳 순으로 정렬하면 쉽게 찾을 수 있습니다.
- msblast.exe를 선택하고 [프로세스 끝내기] 버튼을 누릅니다.
2. MS03-026 패치 다운로드
- MS03-026 패치를 다운로드합니다.
-마이크로소프트 보안 패치 MS03-026:
http://www.microsoft.com/korea/technet/security/bulletin/MS03-026.asp
- 곧바로 설치하지 않고, 안전한 위치에 저장합니다.
3. 네트워크 연결 끊기
- 재감염을 막기 위해 네트워크 케이블을 뽑습니다.
- 또한, Windows XP의 경우 [내 컴퓨터]의 [속성] 중 [시스템 복원] 탭에서 "모든 드라이브에 시스템 복원 사용 안 함"을 체크하십시오. 나중에 치료가 끝난 후에 필요에 따라 다시 체크를 제거할 수 있습니다.
4. 웜 파일 제거하기
- 탐색기에서 Windows\System32 또는 Winnt\System32를 엽니다.
- msblast.exe를 찾아서 삭제합니다.
- 휴지통으로 버렸을 경우 휴지통을 비웁니다.
5. 웜이 자동 실행되도록 하는 레지스트리 값 제거하기
- [시작] - [실행]에서 regedit를 실행합니다.
- [레지스트리 편집기]의 왼쪽 트리에서 다음 키를 선택합니다.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- 오른쪽 창에서 "windows auto update"라는 값을 선택합니다.
- Del 키를 눌러서 삭제합니다.
- [레지스트리 편집기]를 종료하고 컴퓨터를 재부팅합니다.
6. 패치 적용하기
- 위 단계와 같이 치료했다고 하더라도 패치가 설치되지 않은 컴퓨터는 쉽게 재감염될 수 있습니다. 따라서 앞서 다운로드하여 보관중인 MS03-026 패치를 반드시 설치하십시오.
- 패치가 설치된 후 재부팅 할 것인지 물을 때 반드시 재부팅합니다.
7. 네크워크 케이블 연결 후 정상적으로 사용
[주의사항]
한 번 이 웜에 감염된 컴퓨터는 감염되어 있던 동안 공격자가 침입할 수 있는 경로를 열기 때문에 그 시간 동안 공격자가 시스템 설정을 바꾸거나 자료를 열람했을 수도 있습니다. 이 경우 포맷 후 시스템을 재설치하기 전까지는 안전하다고 볼 수 없습니다.
[패치적용 방법]
1. 윈도우 [실행]-[Windows Update]메뉴를 선택합니다.
2. `업데이트 검색`을 선택합니다.
3. 설치할 중요 업데이트 항목에서 `823980` 를 선택하여 설치합니다. 이때 `823980` 뿐 아니라, 다른 보안 업데이트 항목도 함께 설치하기를 권장합니다.
[참고사이트]
http://www.hauri.co.kr/virus/vir_read.html?code=IWW3000424
http://www.hauri.co.kr/news/notice_read.html?start=2&uid=434&s_type=&s_text=
이 파일을 확인해 본 결과 UPX로 실행압축이 되어 있으며, 파일 크기는 6,176 바이트입니다.
이 웜이 실행되면 다음의 레지스트리에 등록이 된다.
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
이 름 : windows auto update
데이터 : msblast.exe
그런뒤 135번 포트를 통해 다른 PC들에게 DCOM RPC 공격을 시도하게 된다. 공격에 성공하면 tftp를 통해서 웜을 다운로드 받아서 실행하며, 계속적으로 이 같은 동작을 반복하게 된다.
또한 일부 시스템에서는 계속적인 재부팅 현상이 발생하기도 한다.
DCOM RPC 보안에 취약한 OS들은 아래와 같다.
- Microsoft Windows NT 4.0
- Microsoft Windows NT 4.0 Terminal Server Edition
- Microsoft Windows 2000
- Microsoft Windows XP
- Microsoft Windows Server 2003
따라서 위의 OS를 사용하고 있다면 다음을 통해서 보안 패치를 받기 바란다.
해당 패치의 다운로드 위치:
- Windows NT 4.0 Server
http://microsoft.com/downloads/details.aspx?FamilyId=2CC66F4E-217E-4FA7-BDBF-DF77A0B9303F&displaylang=ko
- Windows NT 4.0 Terminal Server Edition
http://microsoft.com/downloads/details.aspx?FamilyId=6C0F0160-64FA-424C-A3C1-C9FAD2DC65CA&displaylang=en
- Windows 2000
http://www.microsoft.com/downloads/details.aspx?FamilyId=C8B8A846-F541-4C15-8C9F-220354449117&displaylang=ko
- Windows XP 32 bit Edition
http://www.microsoft.com/downloads/details.aspx?FamilyId=2354406C-C5B6-44AC-9532-3DE40F69C074&displaylang=ko
- Windows XP 64 bit Edition
http://www.microsoft.com/downloads/details.aspx?FamilyId=1B00F5DF-4A85-488F-80E3-C347ADCC4DF1&displaylang=en
- Windows Server 2003 32 bit Edition
http://www.microsoft.com/downloads/details.aspx?FamilyId=F8E0FF3A-9F4C-4061-9009-3A212458E92E&displaylang=ko
- Windows Server 2003 64 bit Edition
http://www.microsoft.com/downloads/details.aspx?FamilyId=2B566973-C3F0-4EC1-995F-017E35692BC7&displaylang=en
- 전산 전문가용: http://www.microsoft.com/korea/technet/security/bulletin/MS03-026.asp
- 최종 사용자용: http://www.microsoft.com/korea/technet/security/bulletin/security_bulletins/ms03-026.asp
[서버 관리자]
이 웜은 135번 포트의 공격으로 보안에 취약한 PC를 공격하기 때문에 135번 포트를 방화벽에서 막을려고 하면 안된다.
135번 포트는 일반적으로 많이 사용하는 포트이기 때문이며 이 웜이 tftp를 통해서 다운로드 받기 때문에 4444번 포트를 방화벽에서 막는것이 우선적으로 효과적이다.
Comment '1'
-
와우..감사합니다...
| 번호 | 제목 | 글쓴이 | 날짜 | 조회 수 |
|---|---|---|---|---|
| 공지 |
(신규입점자 신년이벤트) 기타매니아 홈 메인광고 받습니다(배너제작 가능) 23년 1월 31일까지
|
뮤직토피아 | 2023.01.19 | 149830 |
| 공지 | [공지] 파일 첨부기능에 문제가 있었습니다.. 개선완료.. | 뮤직토피아-개발부 | 2021.02.17 | 173590 |
| 공지 | "댓글" 작성시 주의부탁드립니다. 4 | 뮤직토피아 | 2020.03.09 | 181645 |
| 공지 | "기타메니아" 문자/로고 사용에 관한 건 | 뮤직토피아 | 2020.02.14 | 162582 |
| 공지 | [필독 공지] 연주회 소식을 메인에 노출을 했습니다. 2 | 뮤직토피아-개발부 | 2019.11.02 | 186693 |
| 13989 | 정말로 궁금해서 그런데요... 4 | pepe | 2003.08.09 | 3401 |
| 13988 | 질문이요! | 음.. | 2003.08.10 | 3299 |
| 13987 | 페르난데스 연주회 3 | 채소 | 2003.08.10 | 3945 |
| 13986 | 국악도 연주해보니 너무 좋네요 ^^ 2 | 아멜리아 | 2003.08.10 | 4549 |
| 13985 | 노바첵 연주회 다녀왔어요... 6 | 수 | 2003.08.10 | 3766 |
| 13984 | 김광범을 찾습니다 3 | 이승기 | 2003.08.11 | 3281 |
| 13983 | pavel steidl 연주회가 언제인가요? 1 | 수 | 2003.08.11 | 3587 |
| 13982 | 제 기타... 3 | 문병준 | 2003.08.11 | 3260 |
| 13981 | "風月堂"에 대한 조선일보 기사입니다... 4 | seneka | 2003.08.11 | 3335 |
| 13980 |
p steidl 이 누군가 했더니...
7
|
수 | 2003.08.11 | 4422 |
| 13979 | 기따노 서포트 사용상 주의 1 | 라일 | 2003.08.12 | 3280 |
| 13978 | 전승현님 귀국하실때 존윌리암스같은 마이크(음향)장치 좀 배워 오셔요.. 4 | 수 | 2003.08.13 | 3648 |
| 13977 | 서울 기타 콰르텟 23일에 예술의전당 콘서트홀에서 연주회가 있습니다 1 | 메롱 | 2003.08.13 | 3659 |
| 13976 | 예일 기타 전화번호좀.. 1 | 기타인 | 2003.08.13 | 3957 |
| 13975 | ' sphenish serenade '(스페니쉬 세레나데) 곡 좀 올려주세요~ 4 | mybud | 2003.08.14 | 4556 |
| 13974 | Let the magic take over you. 2 | magicguitar | 2003.08.14 | 4174 |
| 13973 | susuki? 2 | 궁금~ | 2003.08.14 | 6316 |
| 13972 | 이번주는 작곡공부하는 16세 이주환님에게 선물보내는주간. 13 | 수 | 2003.08.15 | 4010 |
| 13971 | 스페인 기타콩쿨 및 마스터클래스 관련 게시판을 마련하였습니다. | 기타저널 | 2003.08.15 | 3506 |
| » | 수님 보세요 1 | 마뇨 | 2003.08.16 | 3256 |
| 13969 | 오늘 밤 재즈 캐빈 가실분..? 6 | 마뇨 | 2003.08.15 | 3260 |
| 13968 | [re] 문희준 어록 3 | 그냥요 | 2003.08.15 | 3561 |
| 13967 | 문희준 어록 14 | 김성제 | 2003.08.15 | 3944 |
| 13966 | 김치와 기타. 10 | 수 | 2003.08.16 | 4337 |
| 13965 |
웃지마셔요...
3
|
기타마니아 | 2003.08.16 | 3477 |
| 13964 | 부산 경남 중주 경연대회.... 5 | 무사시 | 2003.08.16 | 3403 |
| 13963 |
스틸스트링-악보게시판의 gmland 님 채보 악보를 첼로와 기타 2중주로 녹음해보니 ^^
6
|
09 | 2003.08.17 | 4673 |
| 13962 |
[re] 우선 제가 녹음하여 드립니다.
9
|
09 | 2003.08.17 | 3349 |
| 13961 | 해피보이님 보십시오. 4 | gmland | 2003.08.16 | 3502 |
| 13960 | 대구 KBS TV문화展 6 | 고정욱 | 2003.08.18 | 3853 |
Designed by sketchbooks.co.kr / sketchbook5 board skin
Sketchbook5, 스케치북5
Sketchbook5, 스케치북5
Sketchbook5, 스케치북5
Sketchbook5, 스케치북5